Gentoo · Gentoo Portage · CVE-2016-20021
**Nome do software vulnerável e versões afetadas**
Versões do Gentoo Portage anteriores à 3.0.47
**Descrição**
O problema diz respeito à falta de validação PGP do código executado. Especificamente, o comando independente `emerge-webrsync` baixa um arquivo `.gpgsig`, mas não realiza a verificação da assinatura. Este problema não afeta o Portage, a menos que o `emerge-webrsync` seja utilizado.
**Recomendações**
Para versões do Gentoo Portage anteriores à 3.0.47, atualize para a versão 3.0.47 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso do emerge-webrsync até que um patch seja aplicado.